美国政府首席信息安全官详细介绍零信任战略竞赛

如果企业想吸取教训，为庞大的组织快速制定零信任战略，他们应该看看美国联邦政府在 2024 年之前让所有机构合规的努力。

这就是被任命为联邦办公室 CISO（首席信息安全官） 的克里斯·德鲁沙 (Chris DeRusha) 的看法。 

周三，他在华盛顿特区举行的 Forrester 安全与风险活动期间发表了主题演讲，概述了政府令人畏惧的网络安全工作以及如何在其他组织中使用该策略。

德鲁沙估计，参与零信任战略的机构只有 100 多个，包括运输安全管理局 (TSA)、联邦紧急事务管理局 (FEMA)、特勤局、海岸警卫队和许多其他敏感且备受瞩目的文职政府身体。

但说实话，如果你真的将其分解为独立的运营单位，就会发现有数百个，而且它们的能力和资源都各不相同。

那么，当需要快速果断地采取行动时，如何解决众多组织的安全需求呢？

过去十年我们一直在谈论和努力的事情……现在都发生在我们身上。我们需要弄清楚如何激励并尝试为联邦机构投入精力和关注，以真正推动我们十多年来一直致力于的事情。但我们正在努力取得有意义的进展。

该团队有一个起点：一份 170 页的文件，列出了基本目标。但这样一项艰巨的任务，简化由不同组织共享的零信任计划，需要的不仅仅是纸上的文字。

这真的很有趣，很有用，而且感觉不错。但没有人会与之互动。所以，这是一个基础。我们需要一个有针对性的行动计划。

行动计划和严格的截止日期帮助一些组织走上了正确的道路，但其他没有到位资源的组织需要额外的关注。

我们决定，让我们去见见他们所在的每个机构……让我们与他们每个人合作，制定他们自己的定制实施计划。

拥有较小部门和团体的大型组织可以采取类似的实践方法，鼓励每个单位制定自己的有效计划。

经过公众评议期，来自全国各地的学者、行业领袖和其他专家提出了 120 份独立回应，为最佳零信任实践提供了指导，该团队拥有了支持这一崇高计划的智力资本。

这些回应帮助具有不同需求的组织定制自己的合规计划。与此同时，必须考虑预算限制。

对我们来说（预算）非常重要，一些政府和我认为在大公司中，你也需要做这个规划。您需要证明资源支出与某些可能会取得良好结果的策略相关。这就是预算官员签字的公式。

对于任何组织（无论规模大小）来说，重要的一步是定义零信任对该组织意味着什么。

我们接管了整个大型政府机构，我们只是集中精力，在我们所谓的‘零信任’上下了这个大赌注。

但这对我们来说并不意味着什么。能够看到这一点需要做很多工作。必须建造一些可以消除噪音的东西。必须认真对待这些反馈和批评，并构建​​一些可以防御安装的东西。

预算和管理办公室有望在 2024 年截止日期前满足零信任要求。现在正在推进。